Discussion:
[pyar] error de conexión ssl
Lucas Gz
2018-07-23 15:44:42 UTC
Permalink
Buen día mi nombre es Lucas (Fierro) esta es mi primer consulta a la lista,
la verdad es que había que animarse y siempre hay una primera vez para
todo. Soy nuevo en todo lo referido a programación os pido paciencia, voy a
intentar ser lo mas claro posible con lo que sucede.

Configurando el certificado SSL me encuentro con los siguiente errores
(aparentemente aleatorios) en varios navegadores y dispositivoS
principalmente moviles android versiones 4, 5 y hasta 6 pude testearlo:
*NET*::*ERR_CERT_AUTHORITY_INVALID o ERROR DE CONEXION SSL*

*Detalle del error en chrome: "El servidor no pudo probar que su dominos es
....configuracion incorrecta ..."*

Nuestro humilde proyecto cooperativo esta estructurado en Ngnix>Gunicorn>
Supervisor> Django (creo en ese orden)

El sitio está alojado en donweb donde venden el certificado (RapidSSL)
pero solo tienen soporte para distros ferozo con lo cual tuve que
configurar todo como me parecía y creo que el problema viene por el lado de
que no tengo un certificado intermedio. Para lograr esto me pide que para
solicitar un certificado intermedio al link "
https://www.digicert.com/digicert-root-certificates.htm#intermediates" el
cual no se cómo o con qué comando puedo descargarlo directamente al
servidor (ubuntu 16.04 64bits) y menos configurarlo en el orden correcto.

Mi pregunta principal es si es normal que los ssl en muchos S.O. y
navegadores
surja este error o es algo de lo que debo ocuparme configurandolo
correctamente y con código se puede mejorar.
hice varias veces el test de https://www.ssllabs.com/ Y algo que me está
faltando tambien es la CAA que creo que donweb no esta el lista y el sus
DNS no tiene la opcion de configurar un RR

debajo dejo el detalle de las versiones y los archivos de configuracion y
sino en este linkode https://linkode.org/#eIV10JSIALSZnOUWgpYXv1
para el que le quede mas cómodo.

PD: Por seguridad las claves estan modificadas.

MUCHAS GRACIAS!!


nginx version: nginx/1.10.3 (Ubuntu)
OpenSSL version: OpenSSL 1.0.2g 1 Mar 2016


// IMPUT: nginx/sites-enabled/nano ...

upstream btn_server {
# fail_timeout=0 means we always retry an upstream even if it failed
# to return a good HTTP response (in case the Unicorn master nukes a
# single worker for timing out).
server unix:/home/ubuntu/env/run/gunicorn.sock fail_timeout=0;
}

server {

listen 80;
server_name .bitnativo.com www.bitnativo.com;
return 301 https://bitnativo.com$request_uri;

}

server {
listen 443 ssl;
ssl on;
ssl_certificate /etc/nginx/ssl/nginx.crt;
ssl_certificate_key /etc/nginx/ssl/nginx.key;
root /var/www/html/index.nginx-debian.html;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers
ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:E$
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_dhparam /etc/ssl/certs/dhparam.pem;

ssl_session_timeout 1d;
ssl_session_tickets off;


# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6
mont$
# add_header Strict-Transport-Security max-age=15768000;

# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;

# verify chain of trust of OCSP response using Root CA and
Intermediate$
ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt;



client_max_body_size 4G;
access_log /home/ubuntu/logs/nginx-access.log;
error_log /home/ubuntu/logs/nginx-error.log;

location /static/ {
alias /home/ubuntu/static_s/static_root/;
}

location / {

# an HTTP header important enough to have its own Wikipedia entry:
# http://en.wikipedia.org/wiki/X-Forwarded-For
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;


# enable this if and only if you use HTTPS, this helps Rack
# set the proper protocol for doing redirects:
proxy_set_header X-Forwarded-Proto https;

# pass the Host: header from the client right along so redirects
# can be set properly within the Rack application
proxy_set_header Host $http_host;

# we don't want nginx trying to do something clever with
# redirects, we set the Host: header above already.
proxy_redirect off;

# set "proxy_buffering off" *only* for Rainbows! when doing
# Comet/long-poll stuff. It's also safe to set if you're
# using only serving fast clients with Unicorn + nginx.
# Otherwise you _want_ nginx to buffer responses to slow
# clients, really.
# proxy_buffering off;

# Try to serve static files from nginx, no point in making an
# *application* server like Unicorn/Rainbows! serve static files.
if (!-f $request_filename) {
proxy_pass http://btn_server;
break;

}
}
}


//INPUT P VER LOS CERTIFICADOS: openssl s_client -connect
www.bitnativo.com:443 -showcerts

//OUTPUT...

CONNECTED(00000003)
depth=0 CN = bitnativo.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = bitnativo.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/CN=bitnativo.com
i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=RapidSSL RSA CA 2018
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=/CN=bitnativo.com
issuer=/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=RapidSSL RSA CA 2018
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 1981 bytes and written 431 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: 85290D91CA6CAECA7FC949F0230D7AE7875514
Session-ID-ctx:
Master-Key: 25BABC3E6D73A4ED8045D24571F512BF2BE72C872C80
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1532356180
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
closed
Nippur Lagash
2018-07-23 16:05:10 UTC
Permalink
Tu certificado pareciera que está autofirmado, https://certbot.eff.org/
en esa página podes generar un certificado.

Saludos,
Post by Lucas Gz
Buen día mi nombre es Lucas (Fierro) esta es mi primer consulta a la
lista, la verdad es que había que animarse y siempre hay una primera vez
para todo. Soy nuevo en todo lo referido a programación os pido paciencia,
voy a intentar ser lo mas claro posible con lo que sucede.
Configurando el certificado SSL me encuentro con los siguiente errores
(aparentemente aleatorios) en varios navegadores y dispositivoS
*NET*::*ERR_CERT_AUTHORITY_INVALID o ERROR DE CONEXION SSL*
*Detalle del error en chrome: "El servidor no pudo probar que su dominos
es ....configuracion incorrecta ..."*
Nuestro humilde proyecto cooperativo esta estructurado en Ngnix>Gunicorn>
Supervisor> Django (creo en ese orden)
El sitio está alojado en donweb donde venden el certificado (RapidSSL)
pero solo tienen soporte para distros ferozo con lo cual tuve que
configurar todo como me parecía y creo que el problema viene por el lado de
que no tengo un certificado intermedio. Para lograr esto me pide que para
solicitar un certificado intermedio al link "
https://www.digicert.com/digicert-root-certificates.htm#intermediates" el
cual no se cómo o con qué comando puedo descargarlo directamente al
servidor (ubuntu 16.04 64bits) y menos configurarlo en el orden correcto.
Mi pregunta principal es si es normal que los ssl en muchos S.O. y
navegadores
surja este error o es algo de lo que debo ocuparme configurandolo
correctamente y con código se puede mejorar.
hice varias veces el test de https://www.ssllabs.com/ Y algo que me está
faltando tambien es la CAA que creo que donweb no esta el lista y el sus
DNS no tiene la opcion de configurar un RR
debajo dejo el detalle de las versiones y los archivos de configuracion y
sino en este linkode https://linkode.org/#eIV10JSIALSZnOUWgpYXv1
para el que le quede mas cómodo.
PD: Por seguridad las claves estan modificadas.
MUCHAS GRACIAS!!
nginx version: nginx/1.10.3 (Ubuntu)
OpenSSL version: OpenSSL 1.0.2g 1 Mar 2016
// IMPUT: nginx/sites-enabled/nano ...
upstream btn_server {
# fail_timeout=0 means we always retry an upstream even if it failed
# to return a good HTTP response (in case the Unicorn master nukes a
# single worker for timing out).
server unix:/home/ubuntu/env/run/gunicorn.sock fail_timeout=0;
}
server {
listen 80;
server_name .bitnativo.com www.bitnativo.com;
return 301 https://bitnativo.com$request_uri;
}
server {
listen 443 ssl;
ssl on;
ssl_certificate /etc/nginx/ssl/nginx.crt;
ssl_certificate_key /etc/nginx/ssl/nginx.key;
root /var/www/html/index.nginx-debian.html;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers
ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:E$
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_timeout 1d;
ssl_session_tickets off;
# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6
mont$
# add_header Strict-Transport-Security max-age=15768000;
# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;
# verify chain of trust of OCSP response using Root CA and
Intermediate$
ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt;
client_max_body_size 4G;
access_log /home/ubuntu/logs/nginx-access.log;
error_log /home/ubuntu/logs/nginx-error.log;
location /static/ {
alias /home/ubuntu/static_s/static_root/;
}
location / {
# http://en.wikipedia.org/wiki/X-Forwarded-For
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# enable this if and only if you use HTTPS, this helps Rack
proxy_set_header X-Forwarded-Proto https;
# pass the Host: header from the client right along so redirects
# can be set properly within the Rack application
proxy_set_header Host $http_host;
# we don't want nginx trying to do something clever with
# redirects, we set the Host: header above already.
proxy_redirect off;
# set "proxy_buffering off" *only* for Rainbows! when doing
# Comet/long-poll stuff. It's also safe to set if you're
# using only serving fast clients with Unicorn + nginx.
# Otherwise you _want_ nginx to buffer responses to slow
# clients, really.
# proxy_buffering off;
# Try to serve static files from nginx, no point in making an
# *application* server like Unicorn/Rainbows! serve static files.
if (!-f $request_filename) {
proxy_pass http://btn_server;
break;
}
}
}
//INPUT P VER LOS CERTIFICADOS: openssl s_client -connect
www.bitnativo.com:443 -showcerts
//OUTPUT...
CONNECTED(00000003)
depth=0 CN = bitnativo.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = bitnativo.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/CN=bitnativo.com
i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=RapidSSL RSA CA 2018
-----BEGIN CERTIFICATE-----
M6g/ATxLl+TOu4MTH7Ma+BvkcsAm4QJvCC4JM+HmUgJ3TFdovexmPQdT25zz7DKX
kSUnUISER28FKaMkyy1SaCHIliGg3opzVIhkKXyz3P+d3KIzslKMMcRLjB0g0mLl
l/L9PE3IDM9XSZxRNmBcCCo48UIg7OvRPVPnfOwIIxDOPTWSvhH5pnNnvxO3GpBl
6da5CL7qUGMA6nhYkCEwPCRLOdAuadYqcm7V0NYWc80d7dGtFeJldfr/Xo64SgO/
JVriqlNpZl1HAgMBAAGjggK3MIICszAfBgNVHSMEGDAWgBRTyhdZ/GvAAyEvGq7k
qqgcglbadTAdBgNVHQ4EFgQULnfHqxKwmEXmngr+oyImei3a57gwKwYDVR0RBCQw
IoINYml0bmF0aXZvLmNvbYIRd3d3LmJpdG5hdGl2by5jb20wDgYDVR0PAQH/BAQD
AgWgMB0GA1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjA+BgNVHR8ENzA1MDOg
MaAvhi1odHRwOi8vY2RwLnJhcGlkc3NsLmNvbS9SYXBpZFNTTFJTQUNBMjAxOC5j
cmwwTAYDVR0gBEUwQzA3BglghkgBhv1sAQIwKjAoBggrBgEFBQcCARYcaHR0cHM6
Ly93d3cuZGlnaWNlcnQuY29tL0NQUzAIBgZngQwBAgEwdQYIKwYBBQUHAQEEaTBn
MCYGCCsGAQUFBzABhhpodHRwOi8vc3RhdHVzLnJhcGlkc3NsLmNvbTA9BggrBgEF
BQcwAoYxaHR0cDovL2NhY2VydHMucmFwaWR
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=bitnativo.com
issuer=/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=RapidSSL RSA CA 2018
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 1981 bytes and written 431 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: 85290D91CA6CAECA7FC949F0230D7AE7875514
Master-Key: 25BABC3E6D73A4ED8045D24571F512BF2BE72C872C80
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1532356180
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
closed
_______________________________________________
Sitio web: http://www.python.org.ar/
Para administrar la lista (o desuscribirse) entrar a
http://listas.python.org.ar/listinfo/pyar
La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
Argentina - http://www.usla.org.ar
--
Nippur
Mar del Plata
Buenos Aires
Argentina
Lucas Gz
2018-07-23 16:18:17 UTC
Permalink
Gracias por tu tiempo. Me pongo a verlo...
Post by Nippur Lagash
Tu certificado pareciera que está autofirmado, https://certbot.eff.org/
en esa página podes generar un certificado.
Saludos,
Post by Lucas Gz
Buen día mi nombre es Lucas (Fierro) esta es mi primer consulta a la
lista, la verdad es que había que animarse y siempre hay una primera vez
para todo. Soy nuevo en todo lo referido a programación os pido paciencia,
voy a intentar ser lo mas claro posible con lo que sucede.
Configurando el certificado SSL me encuentro con los siguiente errores
(aparentemente aleatorios) en varios navegadores y dispositivoS
*NET*::*ERR_CERT_AUTHORITY_INVALID o ERROR DE CONEXION SSL*
*Detalle del error en chrome: "El servidor no pudo probar que su dominos
es ....configuracion incorrecta ..."*
Nuestro humilde proyecto cooperativo esta estructurado en Ngnix>Gunicorn>
Supervisor> Django (creo en ese orden)
El sitio está alojado en donweb donde venden el certificado (RapidSSL)
pero solo tienen soporte para distros ferozo con lo cual tuve que
configurar todo como me parecía y creo que el problema viene por el lado de
que no tengo un certificado intermedio. Para lograr esto me pide que para
solicitar un certificado intermedio al link "https://www.digicert.com/
digicert-root-certificates.htm#intermediates" el cual no se cómo o con
qué comando puedo descargarlo directamente al servidor (ubuntu 16.04
64bits) y menos configurarlo en el orden correcto.
Mi pregunta principal es si es normal que los ssl en muchos S.O. y
navegadores
surja este error o es algo de lo que debo ocuparme configurandolo
correctamente y con código se puede mejorar.
hice varias veces el test de https://www.ssllabs.com/ Y algo que me está
faltando tambien es la CAA que creo que donweb no esta el lista y el sus
DNS no tiene la opcion de configurar un RR
debajo dejo el detalle de las versiones y los archivos de configuracion y
sino en este linkode https://linkode.org/#eIV10JSIALSZnOUWgpYXv1
para el que le quede mas cómodo.
PD: Por seguridad las claves estan modificadas.
MUCHAS GRACIAS!!
nginx version: nginx/1.10.3 (Ubuntu)
OpenSSL version: OpenSSL 1.0.2g 1 Mar 2016
// IMPUT: nginx/sites-enabled/nano ...
upstream btn_server {
# fail_timeout=0 means we always retry an upstream even if it failed
# to return a good HTTP response (in case the Unicorn master nukes a
# single worker for timing out).
server unix:/home/ubuntu/env/run/gunicorn.sock fail_timeout=0;
}
server {
listen 80;
server_name .bitnativo.com www.bitnativo.com;
return 301 https://bitnativo.com$request_uri;
}
server {
listen 443 ssl;
ssl on;
ssl_certificate /etc/nginx/ssl/nginx.crt;
ssl_certificate_key /etc/nginx/ssl/nginx.key;
root /var/www/html/index.nginx-debian.html;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ECDHE-RSA-AES256-GCM-SHA384:E$
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_timeout 1d;
ssl_session_tickets off;
# HSTS (ngx_http_headers_module is required) (15768000 seconds =
6 mont$
# add_header Strict-Transport-Security max-age=15768000;
# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;
# verify chain of trust of OCSP response using Root CA and
Intermediate$
ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt;
client_max_body_size 4G;
access_log /home/ubuntu/logs/nginx-access.log;
error_log /home/ubuntu/logs/nginx-error.log;
location /static/ {
alias /home/ubuntu/static_s/static_root/;
}
location / {
# http://en.wikipedia.org/wiki/X-Forwarded-For
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# enable this if and only if you use HTTPS, this helps Rack
proxy_set_header X-Forwarded-Proto https;
# pass the Host: header from the client right along so redirects
# can be set properly within the Rack application
proxy_set_header Host $http_host;
# we don't want nginx trying to do something clever with
# redirects, we set the Host: header above already.
proxy_redirect off;
# set "proxy_buffering off" *only* for Rainbows! when doing
# Comet/long-poll stuff. It's also safe to set if you're
# using only serving fast clients with Unicorn + nginx.
# Otherwise you _want_ nginx to buffer responses to slow
# clients, really.
# proxy_buffering off;
# Try to serve static files from nginx, no point in making an
# *application* server like Unicorn/Rainbows! serve static files.
if (!-f $request_filename) {
proxy_pass http://btn_server;
break;
}
}
}
//INPUT P VER LOS CERTIFICADOS: openssl s_client -connect
www.bitnativo.com:443 -showcerts
//OUTPUT...
CONNECTED(00000003)
depth=0 CN = bitnativo.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = bitnativo.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/CN=bitnativo.com
i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=RapidSSL RSA CA 2018
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=/CN=bitnativo.com
issuer=/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=RapidSSL RSA CA 2018
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 1981 bytes and written 431 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: 85290D91CA6CAECA7FC949F0230D7AE7875514
Master-Key: 25BABC3E6D73A4ED8045D24571F512BF2BE72C872C80
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1532356180
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
closed
_______________________________________________
Sitio web: http://www.python.org.ar/
Para administrar la lista (o desuscribirse) entrar a
http://listas.python.org.ar/listinfo/pyar
La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
Argentina - http://www.usla.org.ar
--
Nippur
Mar del Plata
Buenos Aires
Argentina
_______________________________________________
Sitio web: http://www.python.org.ar/
Para administrar la lista (o desuscribirse) entrar a
http://listas.python.org.ar/listinfo/pyar
La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
Argentina - http://www.usla.org.ar
Mauro Silva
2018-07-23 17:12:14 UTC
Permalink
Fijate bien si tu dns esta apuntando bien al dominio o si tu dominio esta
siendo bien resuelto tanto desde tu servidor, como desde afuera. Algunas
veces puede ser por un problema de la version de TLS, y otras veces por lo
que te comente. Apoyate en curl mientras haces las pruebas tanto localmente
como desde el exterior, mientras taileas la salida del nginx, en access.log
y error.log.

Saludos
Post by Lucas Gz
Gracias por tu tiempo. Me pongo a verlo...
Post by Nippur Lagash
Tu certificado pareciera que está autofirmado, https://certbot.eff.org/
en esa página podes generar un certificado.
Saludos,
Post by Lucas Gz
Buen día mi nombre es Lucas (Fierro) esta es mi primer consulta a la
lista, la verdad es que había que animarse y siempre hay una primera vez
para todo. Soy nuevo en todo lo referido a programación os pido paciencia,
voy a intentar ser lo mas claro posible con lo que sucede.
Configurando el certificado SSL me encuentro con los siguiente errores
(aparentemente aleatorios) en varios navegadores y dispositivoS
*NET*::*ERR_CERT_AUTHORITY_INVALID o ERROR DE CONEXION SSL*
*Detalle del error en chrome: "El servidor no pudo probar que su dominos
es ....configuracion incorrecta ..."*
Nuestro humilde proyecto cooperativo esta estructurado en
Ngnix>Gunicorn> Supervisor> Django (creo en ese orden)
El sitio está alojado en donweb donde venden el certificado (RapidSSL)
pero solo tienen soporte para distros ferozo con lo cual tuve que
configurar todo como me parecía y creo que el problema viene por el lado de
que no tengo un certificado intermedio. Para lograr esto me pide que para
solicitar un certificado intermedio al link "
https://www.digicert.com/digicert-root-certificates.htm#intermediates"
el cual no se cómo o con qué comando puedo descargarlo directamente al
servidor (ubuntu 16.04 64bits) y menos configurarlo en el orden correcto.
Mi pregunta principal es si es normal que los ssl en muchos S.O. y
navegadores
surja este error o es algo de lo que debo ocuparme configurandolo
correctamente y con código se puede mejorar.
hice varias veces el test de https://www.ssllabs.com/ Y algo que me
está faltando tambien es la CAA que creo que donweb no esta el lista y el
sus DNS no tiene la opcion de configurar un RR
debajo dejo el detalle de las versiones y los archivos de configuracion
y sino en este linkode https://linkode.org/#eIV10JSIALSZnOUWgpYXv1
para el que le quede mas cómodo.
PD: Por seguridad las claves estan modificadas.
MUCHAS GRACIAS!!
nginx version: nginx/1.10.3 (Ubuntu)
OpenSSL version: OpenSSL 1.0.2g 1 Mar 2016
// IMPUT: nginx/sites-enabled/nano ...
upstream btn_server {
# fail_timeout=0 means we always retry an upstream even if it failed
# to return a good HTTP response (in case the Unicorn master nukes a
# single worker for timing out).
server unix:/home/ubuntu/env/run/gunicorn.sock fail_timeout=0;
}
server {
listen 80;
server_name .bitnativo.com www.bitnativo.com;
return 301 https://bitnativo.com$request_uri;
}
server {
listen 443 ssl;
ssl on;
ssl_certificate /etc/nginx/ssl/nginx.crt;
ssl_certificate_key /etc/nginx/ssl/nginx.key;
root /var/www/html/index.nginx-debian.html;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ECDHE-RSA-AES256-GCM-SHA384:E$
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_timeout 1d;
ssl_session_tickets off;
# HSTS (ngx_http_headers_module is required) (15768000 seconds =
6 mont$
# add_header Strict-Transport-Security max-age=15768000;
# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;
# verify chain of trust of OCSP response using Root CA and
Intermediate$
ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt;
client_max_body_size 4G;
access_log /home/ubuntu/logs/nginx-access.log;
error_log /home/ubuntu/logs/nginx-error.log;
location /static/ {
alias /home/ubuntu/static_s/static_root/;
}
location / {
# http://en.wikipedia.org/wiki/X-Forwarded-For
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# enable this if and only if you use HTTPS, this helps Rack
proxy_set_header X-Forwarded-Proto https;
# pass the Host: header from the client right along so redirects
# can be set properly within the Rack application
proxy_set_header Host $http_host;
# we don't want nginx trying to do something clever with
# redirects, we set the Host: header above already.
proxy_redirect off;
# set "proxy_buffering off" *only* for Rainbows! when doing
# Comet/long-poll stuff. It's also safe to set if you're
# using only serving fast clients with Unicorn + nginx.
# Otherwise you _want_ nginx to buffer responses to slow
# clients, really.
# proxy_buffering off;
# Try to serve static files from nginx, no point in making an
# *application* server like Unicorn/Rainbows! serve static files.
if (!-f $request_filename) {
proxy_pass http://btn_server;
break;
}
}
}
//INPUT P VER LOS CERTIFICADOS: openssl s_client -connect
www.bitnativo.com:443 -showcerts
//OUTPUT...
CONNECTED(00000003)
depth=0 CN = bitnativo.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = bitnativo.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/CN=bitnativo.com
i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=RapidSSL RSA CA 2018
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=/CN=bitnativo.com
issuer=/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=RapidSSL RSA CA 2018
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 1981 bytes and written 431 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: 85290D91CA6CAECA7FC949F0230D7AE7875514
Master-Key: 25BABC3E6D73A4ED8045D24571F512BF2BE72C872C80
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1532356180
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
closed
_______________________________________________
Sitio web: http://www.python.org.ar/
Para administrar la lista (o desuscribirse) entrar a
http://listas.python.org.ar/listinfo/pyar
La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
Argentina - http://www.usla.org.ar
--
Nippur
Mar del Plata
Buenos Aires
Argentina
_______________________________________________
Sitio web: http://www.python.org.ar/
Para administrar la lista (o desuscribirse) entrar a
http://listas.python.org.ar/listinfo/pyar
La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
Argentina - http://www.usla.org.ar
_______________________________________________
Sitio web: http://www.python.org.ar/
Para administrar la lista (o desuscribirse) entrar a
http://listas.python.org.ar/listinfo/pyar
La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
Argentina - http://www.usla.org.ar
Lucas Gz
2018-07-24 22:10:14 UTC
Permalink
Gracias por el aporte, voy por ello.

Estado del arte después de dos días de intensa lectura.

La verdad es que fui depurando* casi* todos los errores sigo con algunos
problemas en algunos navegadores en old versions(entiendo que no todos
deben ser soportados pero en casos particulares testando otras https las
resuelve y la mia no) . Rapidssl tiene un test para los cert.(da todo ok)
junto con ssllab que llegamos a la A+.
Uno de los mayores errores de configuracion que tuve fue el hecho de que
los cerfificados (principal e intermedio) no estaban concatenados y que se
debe rutear los certificados preferentemente en la raiz o en lugares por
defecto ej: /etc/ssl/certs/ (esto no se si es tan técnico pero a mi me
funcionó).
gracias nuevamente!
Post by Mauro Silva
Fijate bien si tu dns esta apuntando bien al dominio o si tu dominio esta
siendo bien resuelto tanto desde tu servidor, como desde afuera. Algunas
veces puede ser por un problema de la version de TLS, y otras veces por lo
que te comente. Apoyate en curl mientras haces las pruebas tanto localmente
como desde el exterior, mientras taileas la salida del nginx, en access.log
y error.log.
Saludos
Post by Lucas Gz
Gracias por tu tiempo. Me pongo a verlo...
Post by Nippur Lagash
Tu certificado pareciera que está autofirmado, https://certbot.eff.org/
en esa página podes generar un certificado.
Saludos,
Post by Lucas Gz
Buen día mi nombre es Lucas (Fierro) esta es mi primer consulta a la
lista, la verdad es que había que animarse y siempre hay una primera vez
para todo. Soy nuevo en todo lo referido a programación os pido paciencia,
voy a intentar ser lo mas claro posible con lo que sucede.
Configurando el certificado SSL me encuentro con los siguiente errores
(aparentemente aleatorios) en varios navegadores y dispositivoS
*NET*::*ERR_CERT_AUTHORITY_INVALID o ERROR DE CONEXION SSL*
*Detalle del error en chrome: "El servidor no pudo probar que su
dominos es ....configuracion incorrecta ..."*
Nuestro humilde proyecto cooperativo esta estructurado en
Ngnix>Gunicorn> Supervisor> Django (creo en ese orden)
El sitio está alojado en donweb donde venden el certificado (RapidSSL)
pero solo tienen soporte para distros ferozo con lo cual tuve que
configurar todo como me parecía y creo que el problema viene por el lado de
que no tengo un certificado intermedio. Para lograr esto me pide que para
solicitar un certificado intermedio al link "
https://www.digicert.com/digicert-root-certificates.htm#intermediates"
el cual no se cómo o con qué comando puedo descargarlo directamente al
servidor (ubuntu 16.04 64bits) y menos configurarlo en el orden correcto.
Mi pregunta principal es si es normal que los ssl en muchos S.O. y
navegadores
surja este error o es algo de lo que debo ocuparme configurandolo
correctamente y con código se puede mejorar.
hice varias veces el test de https://www.ssllabs.com/ Y algo que me
está faltando tambien es la CAA que creo que donweb no esta el lista y el
sus DNS no tiene la opcion de configurar un RR
debajo dejo el detalle de las versiones y los archivos de configuracion
y sino en este linkode https://linkode.org/#eIV10JSIALSZnOUWgpYXv1
para el que le quede mas cómodo.
PD: Por seguridad las claves estan modificadas.
MUCHAS GRACIAS!!
nginx version: nginx/1.10.3 (Ubuntu)
OpenSSL version: OpenSSL 1.0.2g 1 Mar 2016
// IMPUT: nginx/sites-enabled/nano ...
upstream btn_server {
# fail_timeout=0 means we always retry an upstream even if it failed
# to return a good HTTP response (in case the Unicorn master nukes a
# single worker for timing out).
server unix:/home/ubuntu/env/run/gunicorn.sock fail_timeout=0;
}
server {
listen 80;
server_name .bitnativo.com www.bitnativo.com;
return 301 https://bitnativo.com$request_uri;
}
server {
listen 443 ssl;
ssl on;
ssl_certificate /etc/nginx/ssl/nginx.crt;
ssl_certificate_key /etc/nginx/ssl/nginx.key;
root /var/www/html/index.nginx-debian.html;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ECDHE-RSA-AES256-GCM-SHA384:E$
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_timeout 1d;
ssl_session_tickets off;
# HSTS (ngx_http_headers_module is required) (15768000 seconds
= 6 mont$
# add_header Strict-Transport-Security max-age=15768000;
# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;
# verify chain of trust of OCSP response using Root CA and
Intermediate$
ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt;
client_max_body_size 4G;
access_log /home/ubuntu/logs/nginx-access.log;
error_log /home/ubuntu/logs/nginx-error.log;
location /static/ {
alias /home/ubuntu/static_s/static_root/;
}
location / {
# http://en.wikipedia.org/wiki/X-Forwarded-For
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# enable this if and only if you use HTTPS, this helps Rack
proxy_set_header X-Forwarded-Proto https;
# pass the Host: header from the client right along so redirects
# can be set properly within the Rack application
proxy_set_header Host $http_host;
# we don't want nginx trying to do something clever with
# redirects, we set the Host: header above already.
proxy_redirect off;
# set "proxy_buffering off" *only* for Rainbows! when doing
# Comet/long-poll stuff. It's also safe to set if you're
# using only serving fast clients with Unicorn + nginx.
# Otherwise you _want_ nginx to buffer responses to slow
# clients, really.
# proxy_buffering off;
# Try to serve static files from nginx, no point in making an
# *application* server like Unicorn/Rainbows! serve static files.
if (!-f $request_filename) {
proxy_pass http://btn_server;
break;
}
}
}
//INPUT P VER LOS CERTIFICADOS: openssl s_client -connect
www.bitnativo.com:443 -showcerts
//OUTPUT...
CONNECTED(00000003)
depth=0 CN = bitnativo.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = bitnativo.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/CN=bitnativo.com
i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=RapidSSL RSA CA 2018
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=/CN=bitnativo.com
issuer=/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=RapidSSL RSA CA 2018
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 1981 bytes and written 431 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: 85290D91CA6CAECA7FC949F0230D7AE7875514
Master-Key: 25BABC3E6D73A4ED8045D24571F512BF2BE72C872C80
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1532356180
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
closed
_______________________________________________
Sitio web: http://www.python.org.ar/
Para administrar la lista (o desuscribirse) entrar a
http://listas.python.org.ar/listinfo/pyar
La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
Argentina - http://www.usla.org.ar
--
Nippur
Mar del Plata
Buenos Aires
Argentina
_______________________________________________
Sitio web: http://www.python.org.ar/
Para administrar la lista (o desuscribirse) entrar a
http://listas.python.org.ar/listinfo/pyar
La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
Argentina - http://www.usla.org.ar
_______________________________________________
Sitio web: http://www.python.org.ar/
Para administrar la lista (o desuscribirse) entrar a
http://listas.python.org.ar/listinfo/pyar
La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
Argentina - http://www.usla.org.ar
_______________________________________________
Sitio web: http://www.python.org.ar/
Para administrar la lista (o desuscribirse) entrar a
http://listas.python.org.ar/listinfo/pyar
La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
Argentina - http://www.usla.org.ar
Nippur Lagash
2018-07-23 16:07:51 UTC
Permalink
También acordate de tocar la configuración de nginx, para hacerlo más
seguro: (en sites-availables)

ssl_protocols TLSv1.2;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH !RC4 !aNULL
!eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !EDH";

Saludos
Post by Lucas Gz
Buen día mi nombre es Lucas (Fierro) esta es mi primer consulta a la
lista, la verdad es que había que animarse y siempre hay una primera vez
para todo. Soy nuevo en todo lo referido a programación os pido paciencia,
voy a intentar ser lo mas claro posible con lo que sucede.
Configurando el certificado SSL me encuentro con los siguiente errores
(aparentemente aleatorios) en varios navegadores y dispositivoS
*NET*::*ERR_CERT_AUTHORITY_INVALID o ERROR DE CONEXION SSL*
*Detalle del error en chrome: "El servidor no pudo probar que su dominos
es ....configuracion incorrecta ..."*
Nuestro humilde proyecto cooperativo esta estructurado en Ngnix>Gunicorn>
Supervisor> Django (creo en ese orden)
El sitio está alojado en donweb donde venden el certificado (RapidSSL)
pero solo tienen soporte para distros ferozo con lo cual tuve que
configurar todo como me parecía y creo que el problema viene por el lado de
que no tengo un certificado intermedio. Para lograr esto me pide que para
solicitar un certificado intermedio al link "
https://www.digicert.com/digicert-root-certificates.htm#intermediates" el
cual no se cómo o con qué comando puedo descargarlo directamente al
servidor (ubuntu 16.04 64bits) y menos configurarlo en el orden correcto.
Mi pregunta principal es si es normal que los ssl en muchos S.O. y
navegadores
surja este error o es algo de lo que debo ocuparme configurandolo
correctamente y con código se puede mejorar.
hice varias veces el test de https://www.ssllabs.com/ Y algo que me está
faltando tambien es la CAA que creo que donweb no esta el lista y el sus
DNS no tiene la opcion de configurar un RR
debajo dejo el detalle de las versiones y los archivos de configuracion y
sino en este linkode https://linkode.org/#eIV10JSIALSZnOUWgpYXv1
para el que le quede mas cómodo.
PD: Por seguridad las claves estan modificadas.
MUCHAS GRACIAS!!
nginx version: nginx/1.10.3 (Ubuntu)
OpenSSL version: OpenSSL 1.0.2g 1 Mar 2016
// IMPUT: nginx/sites-enabled/nano ...
upstream btn_server {
# fail_timeout=0 means we always retry an upstream even if it failed
# to return a good HTTP response (in case the Unicorn master nukes a
# single worker for timing out).
server unix:/home/ubuntu/env/run/gunicorn.sock fail_timeout=0;
}
server {
listen 80;
server_name .bitnativo.com www.bitnativo.com;
return 301 https://bitnativo.com$request_uri;
}
server {
listen 443 ssl;
ssl on;
ssl_certificate /etc/nginx/ssl/nginx.crt;
ssl_certificate_key /etc/nginx/ssl/nginx.key;
root /var/www/html/index.nginx-debian.html;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers
ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:E$
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_timeout 1d;
ssl_session_tickets off;
# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6
mont$
# add_header Strict-Transport-Security max-age=15768000;
# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;
# verify chain of trust of OCSP response using Root CA and
Intermediate$
ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt;
client_max_body_size 4G;
access_log /home/ubuntu/logs/nginx-access.log;
error_log /home/ubuntu/logs/nginx-error.log;
location /static/ {
alias /home/ubuntu/static_s/static_root/;
}
location / {
# http://en.wikipedia.org/wiki/X-Forwarded-For
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# enable this if and only if you use HTTPS, this helps Rack
proxy_set_header X-Forwarded-Proto https;
# pass the Host: header from the client right along so redirects
# can be set properly within the Rack application
proxy_set_header Host $http_host;
# we don't want nginx trying to do something clever with
# redirects, we set the Host: header above already.
proxy_redirect off;
# set "proxy_buffering off" *only* for Rainbows! when doing
# Comet/long-poll stuff. It's also safe to set if you're
# using only serving fast clients with Unicorn + nginx.
# Otherwise you _want_ nginx to buffer responses to slow
# clients, really.
# proxy_buffering off;
# Try to serve static files from nginx, no point in making an
# *application* server like Unicorn/Rainbows! serve static files.
if (!-f $request_filename) {
proxy_pass http://btn_server;
break;
}
}
}
//INPUT P VER LOS CERTIFICADOS: openssl s_client -connect
www.bitnativo.com:443 -showcerts
//OUTPUT...
CONNECTED(00000003)
depth=0 CN = bitnativo.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = bitnativo.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/CN=bitnativo.com
i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=RapidSSL RSA CA 2018
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=/CN=bitnativo.com
issuer=/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=RapidSSL RSA CA 2018
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 1981 bytes and written 431 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: 85290D91CA6CAECA7FC949F0230D7AE7875514
Master-Key: 25BABC3E6D73A4ED8045D24571F512BF2BE72C872C80
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1532356180
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
closed
_______________________________________________
Sitio web: http://www.python.org.ar/
Para administrar la lista (o desuscribirse) entrar a
http://listas.python.org.ar/listinfo/pyar
La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
Argentina - http://www.usla.org.ar
--
Nippur
Mar del Plata
Buenos Aires
Argentina
Loading...